SEV-ES のコンポーネントとアーキテクチャ

SEV-ES アーキテクチャは、次のコンポーネントで構成されています。

• AMD CPU、特に、暗号化キーを管理して暗号化を処理するプラットフォーム セキュリティ プロセッサ (PSP)。
• 対応オペレーティング システム。ゲストが開始したハイパーバイザーへの呼び出しを使用するオペレーティング システム。
• 仮想マシン モニタ (VMM) と仮想マシンの実行可能 (VMX) コンポーネント。仮想マシンのパワーオン時に暗号化された仮想マシンの状態を初期化し、ゲスト OS からの呼び出しも処理します。
• VMkernel ドライバ。ハイパーバイザーとゲスト OS の間で暗号化されていないデータを通信します。

ESXi 上での SEV-ES の実装と管理

まず、システムの BIOS 構成で SEV-ES を有効にする必要があります。BIOS 構成へのアクセスの詳細については、システムのドキュメントを参照してください。システムの BIOS で SEV-ES を有効にすると、仮想マシンに SEV-ES を追加できるようになります。

仮想マシンの SEV-ES を有効または無効にするには、vSphere Client（vSphere 7.0 Update 2 以降の場合）、または PowerCLI コマンドを使用します。SEV-ES を使用して新しい仮想マシンを作成するか、既存の仮想マシンで SEV-ES を有効にできます。SEV-ES が有効になっている仮想マシンを管理する権限は、通常の仮想マシンを管理する場合と同じです。

SEV-ES でサポートされていない VMware の機能

SEV-ES が有効な場合は、次の機能がサポートされません。

• システム管理モード
• vMotion
• パワーオン状態のスナップショット（ただし、非メモリ スナップショットはサポートされます）
• CPU またはメモリのホット アドまたはホット リムーブ
• サスペンド/レジューム
• VMware フォールト トレランス
• クローンとインスタント クローン
• ゲストの整合性
• UEFI セキュア ブート